Гордеев А.В. Операционные системы

Подождите немного. Документ загружается.

Адресация в 32-разрядных микропроцессорах J80xcSb 11

31 12 11 9876543210

ддрес таблицы страниц или адрес страничного кадра

Для ОС

г Ditry

Access

Бит

upervisor

User/S

d/Write

Rea

ssent

Рис. 4.7. Дескриптор страницы

Прежде всего, микропроцессор анализирует самый младший бит дескриптора —

бит присутствия, если он равен нулю, то это означает отсутствие данной страни-

цы в оперативной памяти, и такая ситуация влечет прерывание в работе процессо-

ра с передачей управления на соответствующую программу, которая должна будет

загрузить затребованную страницу. Бит, называемый «грязным» (dirty), показы-

вает, что данную страницу модифицировали, и при замещении этого страничного

кадра следующим ее необходимо сохранить во внешней памяти. Бит обращения

(access) свидетельствует о том, что к данной таблице или странице осуществлялся

доступ. Он анализируется для определения страницы, которая будет участвовать

в замещении при использовании дисциплины LRU или LFU. Наконец, первый и

второй биты требуются для защиты памяти.

Старшие 10 бит линейного адреса определяют номер таблицы страниц (Page Table

Entry, РТЕ), из которой посредством вторых 10 бит линейного адреса выбирается

соответствующий дескриптор виртуальной страницы. И уже из этого дескриптора

выбирается номер физической страницы, если данная виртуальная страница ото-

бражена на оперативную память. Эта схема определения физического адреса из

линейного изображена на рис. 4.8.

Первая таблица, которую мы индексируем первыми (старшими) десятью битами

линейного адреса, названа таблицей каталога таблиц страниц (Page Directory

Entry, PDE). Ее адрес в оперативной памяти определяется старшими двадцатью

битами управляющего регистра CR0.

Каждая из таблиц (PDE и РТЕ) состоит из 1024 элементов (2

= 1024). В свою

очередь, каждый элемент (дескриптор страницы) имеет длину 4 байт (32 бит), по-

этому размер этих таблиц как раз соответствует размеру страницы.

Оценим теперь эту схему трансляции с позиций расхода памяти. Каждый дескрип-

тор описывает страницу размером 4 Кбайт. Следовательно, одна таблица страниц,

содержащая 1024 дескриптора, описывает пространство памяти в 4 Мбайт. Если за-

дача пользуется виртуальным адресным пространством, например, в 55 Мбайт (пред-

положим, что речь идет о некотором графическом редакторе, который обрабатывает

изображение, состоящее из большого количества пикселов

), то для описания этой

памяти необходимо иметь 14 страниц (14 х 4 Мбайт = 56 Мбайт), содержащих таб-

лицы РТЕ. Кроме того, нам потребуется для этой задачи еще одна таблица PDE (тоже

Размером в одну страницу), в которой 14 дескрипторов будут указывать на место-

Напомшш, что термин «пиксел» происходит от английского Picture Element

мент. Множество пикселов образуют изображение.

графический эле-

112 Глава 4, Особенности архитектуры микропроцессоров J80x86

нахождение упомянутых таблиц РТЕ. Остальные дескрипторы PDE не требуются.

Итого, для описания 55 Мбайт адресного пространства задачи потребуется всего

15 страниц, то есть 60 Кбайт памяти, что можно считать приемлемым.

Линейный адрес

1023

г> °

1023

„ о

DTE

11 0

•

РТЕ

\ '

(

' )

Физический адрес

Регистр CR3

Рис. 4.8. Трансляция линейного адреса в микропроцессорах i80x86

Адресация в 32-разрядных микропроцессорах J80x86 113

Если бы не был использован такой двухэтапный механизм трансляции, то потери

памяти на описание адресного пространства могли бы составить 4 Кбайт х 2'° =

4 Мбайт! Очевидно, что это уже неприемлемое решение.

Итак, микропроцессор для каждой задачи, для которой у него есть TSS, позволяет

иметь таблицу PDE и некоторое количество таблиц РТЕ. Поскольку это дает воз-

можность адресоваться к любому байту из 2

, а шина адреса как раз и позволяет

использовать физическую память с таким объемом, то можно как бы отказаться от

сегментного способа адресации. Другими словами, если считать, что задача состо-

ит из одного единственного сегмента кода и одного сегмента данных, которые,

в свою очередь, разбиты на страницы, то фактически мы получаем только один

страничный механизм работы с виртуальной памятью. Этот подход получил на-

звание плоской модели памяти. При использовании плоской модели памяти упро-

щается создание и операционных систем, и систем программирования, кроме того,

уменьшаются расходы памяти на поддержку системных информационных струк-

тур. Поэтому в абсолютном большинстве современных 32-разрядных операцион-

ных систем, создаваемых для микропроцессоров i80x86, используется плоская

модель памяти. Более того, появление новых 64-разрядных микропроцессоров во

многом определено желанием получить большее адресное пространство, чем его

имеют 32-разрядные процессоры, при сохранении возможности работать только с

плоской моделью памяти.

Режим виртуальных машин для исполнения

приложений реального режима

Разработчики рассматриваемого семейства микропроцессоров в своем стремлении

обеспечить максимально возможную совместимость архитектуры пошли не только

на то, чтобы за счет введения реального режима работы обеспечить возможность

программам, созданным для первых 16-разрядных персональных компьютеров, без

проблем выполняться на компьютерах с более поздними моделями микропроцес-

соров. Они обеспечили возможность выполнения 16-разрядных приложений ре-

ального режима при условии, что сам процессор функционирует в защищенном

режиме работы, и операционная система, используя соответствующие аппаратные

средства микропроцессора, организует мультипрограммный (мультизадачный)

режим. Другими словами, микропроцессоры i80x86 поддерживают возможность

создания операционных сред реального режима при работе микропроцессора в за-

щищенном режиме. Если условно назвать 16-разрядные приложения DOS-прило-

жениями (поскольку в абсолютном большинстве случаев это именно так), то мож-

но сказать, что введена поддержка виртуальных DOS-машин, работающих вместе

с обычными 32-разрядными приложениями защищенного режима. Это нашло от-

ражение в названии такого режима работы микропроцессоров i80x86 (его называ-

ют режимом виртуального процессора i8086, иногда для краткости — режимом V86,

или просто виртуальным режимом), когда в защищенном режиме работы может

исполняться код DOS-приложения. Мультизадачность при выполнении несколь-

ких программ реального режима поддерживается аппаратными средствами защи-

щенного режима.

114 Глава 4. Особенности архитектуры микропроцессоров i80x86

Переход в виртуальный режим осуществляется посредством изменения бита VM

(Virtual Mode) в регистре EFLAGS. Когда процессор находится в виртуальном

режиме, для адресации памяти используется схема реального режима работы (сег-

мент плюс смещение) с размером сегментов до 64 Кбайт, которые могут распола-

гаться в адресном пространстве размером в 1 Мбайт, однако полученные адреса

считаются не физическими, а линейными. В результате страничной трансляции

осуществляется отображение виртуального адресного пространства 16-разрядно-

го приложения на физическое адресное пространство. Это позволяет организовать

параллельное выполнение нескольких задач, разработанных для реального режи-

ма, да еще совместно с обычными 32-разрядными приложениями, требующими

защищенного режима работы.

Естественно, что для обработки прерываний, возникающих при выполнении 16-раз-

рядных приложений в виртуальном режиме, процессор возвращается из этого ре-

жима в обычный защищенный режим. В противном случае невозможно было бы

организовать полноценную виртуальную машину. Очевидно, что обработчики

прерываний для виртуальной машины должны эмулировать работу подсистемы

прерываний процессора i8086. Другими словами, прерывания отображаются

в операционную систему, работающую в защищенном режиме, и уже основная опе-

рационная система моделирует работу операционной среды выполняемого прило-

жения.

Вопрос, связанный с операциями ввода-вывода, которые недоступны для обыч-

ных приложений (см. следующий раздел), решается аналогично. При попытке

выполнить недопустимые команды (ввода-вывода) возникают прерывания, и не-

обходимые операции выполняются операционной системой, хотя задача об этом и

«не подозревает». При выполнении команд IN, OUT, INS, OUTS, CLI, STI процессор,

находящийся в виртуальном режиме и исполняющий код на уровне привилегий

третьего (самого нижнего) кольца защиты, за счет возникающих вследствие этого

прерываний переводится на выполнение высоко привилегированного кода опера-

ционной системы.

Таким образом, операционная система может полностью виртуализировать ап-

паратные

и программные ресурсы компьютера, создавая полноценную опера-

ционную среду, отличную от себя самой, ибо существуют так называемые на-

тивные приложения, создаваемые по собственным спецификациям данной

операционной системы. Очень важным моментом для организации полноцен-

ной виртуальной машины является виртуализация не только программных, но

и аппаратных ресурсов. Так, например, в Windows NT эта задача выполнена

явно неудачно, тогда как в OS/2 имеется полноценная виртуальная машина как

для DOS-приложеиий, так и для приложений, работающих в среде специфика-

ций Win 16. Правда, в последнее время это перестало быть актуальным, посколь-

ку появилось большое количество приложений, работающих по спецификаци-

ям Win32 API.

Речь идет о памяти, портах ввода-вывода, системе обработки прерываний и других устройствах.

^яшита адресного пространства задач

115

Защита адресного пространства задач

Для создания надежных мультипрограммных операционных систем в процессо-

оа

х семейства i80x86 имеется несколько механизмов защиты. Это и разделение

адресных пространств задач, и введение уровней привилегий для сегментов кода и

сегментов данных. Это позволяет обеспечить как защиту задач друг от друга, так и

защиту самой операционной системы от прикладных задач, защиту одной части

системы от других ее частей, защиту самих задач от некоторых своих собственных

ошибок.

Защита адресного пространства задач осуществляется относительно легко за счет

того, что каждая задача может иметь свое собственное локальное адресное про-

странство. Операционная система должна корректно манипулировать таблицами

трансляции сегментов (дескрипторными таблицами) и таблицами трансляции стра-

ничных кадров. Сами таблицы дескрипторов как сегменты данных (а соответствен-

но, в свою очередь, и как страничные кадры) относятся к адресному пространству

операционной системы и имеют соответствующие привилегии доступа; исправ-

лять их задачи не могут. Этими информационными структурами процессор пользу-

ется сам на аппаратном уровне без возможности их читать и редактировать из

пользовательских приложений. В плоской модели памяти возможность микропро-

цессора контролировать обращения к памяти только внутри текущего сегмента

фактически не используется, и остается в основном только механизм отображе-

ния страничных кадров. Выход за пределы страничного кадра невозможен, поэто-

му фиксируется только выход за пределы своего сегмента. В этом случае прихо-

дится полагаться только на систему программирования, которая должна корректно

распределять программные модули в пределах единого неструктурированного ад-

ресного пространства задачи. Поэтому создание многопоточных приложений, когда

каждая задача (в данном случае — поток выполнения) может испортить адресное

пространство другой задачи, — очень сложная проблема, особенно если не приме-

нять системы программирования на языках высокого уровня.

Итак, чтобы организовать взаимодействие задач, имеющих разные виртуальные

адресные пространства, необходимо, как мы уже говорили, иметь общее адресное

пространство. И здесь для обеспечения защиты самой операционной системы,

а значит, и для повышения надежности всех вычислений используется механизм

защиты сегментов с помощью уровней привилегий.

Уровни привилегий для защиты адресного

пространства задач

Для того чтобы запретить пользовательским задачам модифицировать области

памяти, принадлежащие самой операционной системе, необходимо иметь специ-

альные средства. Одного разграничения адресных пространств через механизм сег-

ментов мало, ибо можно указывать различные значения адреса начала сегмента

тем самым получать доступ к чужим сегментам. Другими словами, необходимо

явном виде отделять системные сегменты данных и кода от сегментов, принадле-

жащих пользовательским программам. Поэтому были введены два основных ре-

116 Глава 4, Особенности архитектуры микропроцессоров J80x86

жима работы процессора: режим пользователя и режим супервизора. Большин-

ство современных процессоров поддерживают по крайней мере два этих режима.

Так, в режиме супервизора программа может выполнять все действия и иметь дос-

туп по любым адресам, тогда как в пользовательском режиме должны быть ограни-

чения, с тем чтобы обнаруживать и пресекать запрещенные действия, перехватывая

их и передавая управление супервизору операционной системы. Часто в пользо-

вательском режиме запрещается выполнение команд ввода-вывода и некоторых

других, чтобы гарантировать выполнение этих операций только операционной

системой.

В микропроцессорах i80x86 режим супервизора и режим пользователя непосред-

ственно связаны с так называемыми уровнями привилегий, причем имеется не два,

а четыре уровня привилегий. Для указания уровня привилегий используются два

бита, поэтому код 0 обозначает самый высший уровень, а код 3 — самый низший.

Самый высший уровень привилегий предназначен для операционной системы

(прежде всего для ядра ОС), самый низший — для прикладных задач пользовате-

ля. Промежуточные уровни привилегий введены для большей свободы системных

программистов в организации надежных вычислений при создании операционной

системы и иного системного программного обеспечения. Предполагалось, что уро-

вень с номером (кодом) 1 может быть использован, например, для системного сер-

виса — программ обслуживания аппаратуры, драйверов, работающих с портами

ввода-вывода. Уровень привилегий с кодом 2 может быть использован для созда-

ния пользовательских интерфейсов, систем управления базами данных и прочи-

ми, то есть для реализации специальных системных функций, которые по отноше-

нию к супервизору операционной системы ведут себя как обычные приложения.

Так, например, в системе OS/2 доступны три уровня привилегий: с нулевым уров-

нем привилегий исполняется код супервизорной части операционной системы,

на втором уровне исполняются системные процедуры подсистемы ввода-вывода,

на третьем уровне исполняются прикладные задачи пользователей. Однако на прак-

тике чаще всего задействуются только два уровня — нулевой и третий. Таким об-

разом, упомянутый режим супервизора для микропроцессоров i80x86 соответствует

выполнению кода с уровнем привилегий 0, обозначаемый как PLO (Privilege Level 0 —

уровень привилегий 0). Подводя итог, можно констатировать, что именно уровень

привилегий задач определяет, какие команды в них можно использовать и какое

подмножество сегментов и/или страниц в их адресном пространстве они могут

обрабатывать.

Основными системными объектами, которыми манипулирует процессор при ра-

боте в защищенном режиме, являются дескрипторы. Именно дескрипторы сегмен-

тов содержат информацию об уровне привилегий соответствующего сегмента кода

или данных. Уровень привилегий исполняющейся задачи определяется значени-

ем поля привилегий, находящегося в дескрипторе ее текущего кодового сегмента.

Напомним (см. рис. 4.3), что в байте прав доступа каждого дескриптора сегмента

имеется поле DPL (Descriptor Privilege Level — уровень привилегий сегмента, оп-

ределяемый его дескриптором), которое и определяет уровень привилегий связан-

ного с ним сегмента. Таким образом, поле DPL текущего сегмента кода становится

полем текущего уровня привилегий (Current Privilege Level, CPL), илнуровня при-

Защита адресного пространства задач 117

вилегий задачи. При обращении к какому-нибудь сегменту в соответствующем се-

лекторе указывается (см. рис. 4.4) запрашиваемый уровень привилегий (Requested

privilege Level, RPL)'.

В пределах одной задачи используются сегменты с различными уровнями приви-

легий, и в определенные моменты времени выполняются или обрабатываются сег-

менты с соответствующими им уровнями привилегий. Механизм проверки приви-

легий работает в ситуациях, которые можно назвать межсегментными переходами

(обращениями). К этим ситуациям относятся доступ к сегменту данных или сте-

ковому сегменту, межсегментные передачи управления в случае прерываний

(и особых ситуаций), использование команд CALL, JMP, INT, IRET, RET. В таких меж-

сегментных обращениях участвуют два сегмента: целевой сегмент (к которому мы

обращаемся) и текущий сегмент кода, из которого идет обращение.

Процессор сравнивает упомянутые значения CPL, RPL, DPL и на основе понятия

эффективного уровня привилегий (Effective Privilege Level, EPL)

ограничивает

возможности доступа к сегментам по следующим правилам, в зависимости от того,

идет ли речь об обращении к коду или к данным.

При доступе к сегментам данных проверяется условие CPL < EPL. Нарушение этого

условия вызывает так называемую особую ситуацию ошибки защиты, ведущую к

прерыванию. Уровень привилегий сегмента данных, к которому осуществляется

обращение, должен быть таким же, как и текущий уровень, или меньше его. Обра-

щение к сегменту с более высоким уровнем привилегий воспринимается как ошиб-

ка, так как существует опасность изменения данных с высоким уровнем привиле-

гий программой с низким уровнем привилегий. Доступ к данным с меньшим

уровнем привилегий разрешается.

Если целевой сегмент является сегментом стека, то правило проверки имеет вид:

CPL

DPL

RPL

В случае его нарушения также возникает исключение. Поскольку стек может при-

меняться в каждом сегменте кода, и всего имеется четыре уровня привилегий кода,

используется четыре стека. Сегмент стека, адресуемый регистром SS, должен иметь

тот же уровень привилегий, что и текущий сегмент кода.

Правила для передачи управления, когда осуществляется межсегментный пере-

ход с одного сегмента кода на другой сегмент кода, несколько сложнее. Если для

перехода с одного сегмента данных на другой сегмент данных считается допусти-

мым обрабатывать менее привилегированные сегменты, то передача управления

из более привилегированного кода на менее привилегированный код должна кон-

тролироваться дополнительно. Другими словами, код операционной системы не

Должен доверять коду прикладных задач. И обратно, нельзя просто так давать за-

дачам возможность исполнять привилегированный код, хотя потребность в этом

всегда имеется (ведь многие функции, в том числе и функции ввода-вывода, счи-

Иоле RPL определяется программистом (системой программирования). В отличие от поля DPL поле

KPL легко может быть изменено.

•значение эффективного уровня привилегий определяется минимальной привилегией, то есть как

Максимальное значение из двух уровней, RPL и DPL.

118 Глава 4. Особенности архитектуры микропроцессоров 180x86

таются привилегированными и должны выполняться только самой операционной

системой). Для передачи управления в сегменты кода с иными уровнями приви-

легий введен механизм шлюзов, который мы вкратце рассмотрим ниже: Более по-

дробное рассмотрение затронутых вопросов выходит за рамки темы данной книги.

Для получения более детальных сведений по этому и некоторым другим вопросам

особенностей архитектуры микропроцессоров i80x86 рекомендуется обратиться к

таким материалам, как, например, [1, 8].

Механизм шлюзов для передачи управления

на сегменты кода с другими уровнями

привилегий

Поскольку межсегментные переходы контролируются с использованием уровней

привилегий, а потребность в передаче управления с одного уровня привилегий на

другой уровень имеется, в микропроцессорах i80x86 реализован механизм шлюзов,

который мы поясним с помощью рис. 4.9. Шлюзование позволяет организовать

обращение к так называемым подчиненным сегментам кода, которые выполняют

часто встречающиеся функции и должны быть доступны многим задачам, распо-

лагающимся на том же или нижележащем уровне привилегий. Часто уровни при-

вилегий называют кольцами защиты, поскольку это иногда помогает объяснить

принцип действия самого механизма. Часто говорят, что некоторый программный

модуль «исполняется в кольце защиты с номером ...».

Помимо дескрипторов сегментов системными объектами, с которыми работает

микропроцессор, являются специальные системные дескрипторы, названные шлю-

зами (gates). Главное различие между дескриптором сегмента и шлюзом вызова

подчиненного сегмента кода заключается в том, что содержимое дескриптора ука-

зывает на сегмент в памяти, а шлюз обращается к дескриптору. Другими словами,

если дескриптор служит механизмом отображения памяти, то шлюз служит меха-

низмом перенаправления вычислений.

Для доступа к более привилегированному коду задача должна обратиться к нему

не непосредственно (путем указания дескриптора этого кода), а через шлюз этого

сегмента (рис. 4.10).

В этом дескрипторе вместо адреса сегмента указываются селектор, позволяю-

щий найти дескриптор искомого сегмента кода, и адрес (смещение назначения),

с которого будет выполняться подчиненный сегмент, то есть полный 32-разряд-

ный адрес. Формат дескриптора шлюза приведен на рис. 4.11. Адресовать шлюз

вызова можно с помощью команды CALL или FAR CALL (межсегментный вызов про-

цедуры). По существу, дескрипторы шлюзов вызова не являются дескрипторами

сегментов, но могут располагаться среди обычных дескрипторов (в дескриптор-

ных таблицах) процесса. Смещение, указываемое в команде перехода на другой

сегмент (FAR CALL), игнорируется, и фактически осуществляется переход на ко-

манду, адрес которой определяется через смещение из шлюза вызова. Этим га-

рантируется попадание только на разрешенные точки входа в подчиненные сег-

менты.

--- шШ

щита адресного пространства задач

119

Уровень привилегий О

Адресное пространство программны)

Запрашиваемый

программный модуль

модулей ОС

Уровень привилегий 1

Уровень привилегий 2

Уровень привилегий 3

Адресное пространство процесса А

Шлюз

Адресное пространство

процесса Б

Рис. 4.9. Механизм шлюзов для перехода на другой уровень привилегий

Введены следующие правила использования шлюзов:

• значение DPL шлюза вызова должно быть больше или равно значению текуще-

го уровня привилегий CPL;

• значение DPL шлюза вызова должно быть больше или равно значению поля

RPL селектора шлюза;

• значение DPL шлюза вызова должно быть больше или равно значению DPL

целевого сегмента кода;

• значение DPL целевого сегмента кода должно быть меньше или равно значе-

нию текущего уровня привилегий CPL.

Требование наличия и доступности шлюза вызова для перехода на более приви-

легированный код ограничивает менее привилегированный код заданным набо-

ром точек входа. Так как шлюзы вызова являются элементами дескрипторных

таблиц (а мы говорили, что их не только можно, но и желательно там распола-

гать), то менее привилегированная программа не может создать дополнитель-

НЬ1

х (а значит, и неконтролируемых) шлюзов. Таким образом, рассмотренный

механизм шлюзов дает следующие преимущества в организации среды надеж-

ных вычислений.

120 Глава 4. Особенности архитектуры микропроцессоров 180x86

Q Привилегированный код надежно защищен, и вызывающие его программы не мо-

гут его разрушить. Естественно, что такой системный код должен быть особенно

тщательно отлаженным, не содержать ошибок, быть максимально эффективным.

• Шлюзы межсегментных переходов для вызова системных функций делают эти

самые системные функции невидимыми для программных модулей, располо-

женных на внешних (более низких) уровнях привилегий.

Q Поскольку вызывающая программа непосредственно адресует только шлюз вызо-

ва, реализуемые вызываемым модулем (сегментным кодом) функции можно изме-

нить или переместить в адресном пространстве, не затрагивая интерфейс со шлюзом.

Q Легко реализуется вызов программных модулей с более привилегированного

уровня.

Сегмент

Смещение

CALL

Дескриптор шлюза

Дескриптор сегмента кода

.••.••.-,-.•-•

высоким'

Рис. 4.10. Переход на сегмент более привилегированного кода

Старшее двойное слово дескриптора

19 15 11

Смещение назначения (биты 31-16)

Селектор сегмента назначения

Р DPL

1100

Байт прав доступа

000

Счетчик

DWORD

Смещение назначения (биты 15-0)

Первое (младшее) двойное слово дескриптора

Рис. 4.11. Формат дескриптора шлюза